| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
要約
現在、Adobe Flashにて、重大と分類される脆弱性が確認されています。 影響を受けるのは、コンポーネント【Sandbox】の未知の関数です。 未知の値でPercent-Encodingの一部として攻撃することが、 特権昇格を突く攻撃に繋がります}。 さらに、悪用手段が存在します。 影響を受けているコンポーネントのアップグレードを推奨します。
詳細
現在、Adobe Flashにて、重大と分類される脆弱性が確認されています。 影響を受けるのは、コンポーネント【Sandbox】の未知の関数です。 未知の値でPercent-Encodingの一部として攻撃することが、 特権昇格を突く攻撃に繋がります}。 CWEを使用して問題を宣言すると、CWE-269 につながります。 この脆弱性は 2016年09月27日に Leone Pontorieriより「Full-Disclosure」の Mailinglist Postにて 紹介されました。 アドバイザリはseclists.orgから入手可能です。
技術的な情報は提供されていません。 この脆弱性の普及度は平均未満です。 さらに、悪用手段が存在します。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは攻撃手法をT1068として定義しています。
このエクスプロイトツールは 概念実証 として宣言されています。 エクスプロイトはseclists.orgでダウンロードできます。 0-dayの際、アンダーグラウンド市場での想定価格は$25k-$100k前後でした。 エクスプロイトのソースコードは以下です:
navigateToURL(new URLRequest("file:///tmp/%61ttack%2Dthis-sandbox.html")); 勧告は以下のように述べています:Flash has never fixed these issues and local-with-filesystem sandbox can be optionally enabled, by editing a configuration file. So, Flash still contains the vulnerable piece of code, but it can be exploited only if an uncommon setting is enabled. In this way, these vulnerabilities are “frozen” in the code and their fate is to be reproduced in every future version of Adobe Flash, but it seems unrealistic to use those again in a real world scenario.
影響を受けているコンポーネントのアップグレードを推奨します。 アドバイザリには次の注記が含まれています:
Like a lot of love stories, the one between Flash and local files is over. Local-with-filesystem sandbox has today, after a decade, been killed by Adobe, making (almost) obsolete those Flash files using that feature.
製品
タイプ
ベンダー
名前
ライセンス
ウェブサイト
- ベンダー: https://www.adobe.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.3VulDB 一時的なメタスコア: 6.3
VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 6.3
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: 特権昇格CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: Leone Pontorieri
ダウンロード: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
タイムライン
2016年09月27日 🔍2016年09月27日 🔍
2016年09月29日 🔍
2019年04月27日 🔍
ソース
ベンダー: adobe.com勧告: seclists.org
調査者: Leone Pontorieri
ステータス: 未定義
GCVE (VulDB): GCVE-100-92243
scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍
エントリ
作成済み: 2016年09月29日 15:45更新済み: 2019年04月27日 18:10
変更: 2016年09月29日 15:45 (49), 2019年04月27日 18:10 (2)
完了: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。